AVG: hoe maak ik een verwerkingsregister?

  • Financieel & Juridisch

Met de komst van de nieuwe privacywet, die per 25 mei aanstaande ingaat, dienen bedrijven expliciet rekening te houden met de verantwoordingsplicht. Zo benadrukt accountancy & belastingadvies kantoor Van Oers.

AVG: hoe maak ik een verwerkingsregister?

De verantwoordingsplicht houdt in dat bedrijven bepaalde zaken moeten hebben ingericht om de naleving van de AVG aan te kunnen tonen. Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister waarmee u inzicht krijgt in welke persoonsgegevens er verwerkt worden binnen uw organisatie.

Wanneer dient u een verwerkingsregister bij te houden?

Het bijhouden van een verwerkingsregister is voor bijna elk mkb-bedrijf verplicht. Bedrijven met meer dan 250 werknemers dienen sowieso een verwerkingsregister bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan hoeft deze enkel over een verwerkingsregister te beschikken indien de verwerking niet incidenteel is, het waarschijnlijk is dat de verwerking die het bedrijf verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen en wanneer de verwerking bijzondere categorieën van gegevens in verband met strafrechtelijke veroordelingen en strafbare feiten bevatten.

Vereisten verwerkingsregister

Afhankelijk of u verwerker of verwerkingsverantwoordelijke bent dient u bepaalde informatie vast te leggen. 

Verwerkingsverantwoordelijke

Het register van de verwerkingsverantwoordelijke moet bevatten:

  • De verwerkingsdoelen en de grondslagen voor verwerking
  • Een beschrijving van de categorieën van betrokkenen
  • Een beschrijving van de categorieën van persoonsgegevens
  • De verwerkers die diensten voor u verlenen en beschikking over uw persoonsgegevens
  • De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt
  • Doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
  • De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
  • In voorkomend geval de naam van de functionaris voor gegevensbescherming

Verwerker

Het register van de verwerker moet bevatten:

  • De naam en de contactgegevens van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt
  • De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd
  • Doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
  • Een algemene beschrijving van de technische/ organisatorische beveiligingsmaatregelen
  • In voorkomend geval de naam van de functionaris voor gegevensbescherming

In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van uw organisatie) dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteed, denk aan een SAAS-dienstverlener of een hostingpartij, dan dient de subverwerker ook een verwerkingsregister te hebben.

Welke acties moet u in gang zetten?

Het verwerkingsregister geeft u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kunt u bepalen in welke proces of activiteit u zaken nog niet heeft ingeregeld, welke risico’s u mogelijk loopt en of de maatregelen die u heeft getroffen afdoende zijn. U kunt dit ook periodiek evalueren. Mogelijke acties op basis van het verwerkingsregister:

  • Controleren van de gemaakte afspraken met verwerkers en mogelijk aanvullen van de verwerkersovereenkomsten
  • Vaststellen (privacy)beleid op specifieke onderwerpen
  • Aanvullen van verwerkingsdoelen en grondslagen van de gegevensverwerking
  • Vaststellen bewaartermijnen en inregelen vernietiging persoonsgegevens na het verstrijken van de bewaartermijnen
  • Controleren of de technische en organisatorische maatregelen zowel in uw eigen organisatie als bij uw verwerkers afdoende zijn
  • Gebruiken van de informatie uit het verwerkingsregister om de betrokkene(n) te informeren

Te gecompliceerd? Van Oers Accountancy en Advies kan u helpen om AVG-proof te worden als het gaat om het afsluiten van een verwerkersovereenkomst.

Meer informatie over OERS ACCOUNTANCY & ADVIES BREDA, VAN:

Bekijk het complete bedrijfsprofiel

Linkedin bedrijfspagina RegioinBedrijf Volg RegioinBedrijf op Linkedin

Volg RegioinBedrijf op LinkedIn en blijf op de hoogte van regionale ontwikkelingen!